الاتصال الأجهزة المختلطة إلى Azure على نطاق واسع

  • مقالة
  • قراءة خلال 6 دقائق

يمكنك تمكين الخوادم التي تدعم Azure Arc لعدة أجهزة Windows أو Linux في بيئتك من خلال العديد من الخيارات المرنة وفقا لمتطلباتك. باستخدام البرنامج النصي للقالب الذي نقدمه، يمكنك أتمتة كل خطوة من خطوات التثبيت، بما في ذلك إنشاء الاتصال ب Azure Arc. ومع ذلك، يطلب منك تنفيذ هذا البرنامج النصي بشكل تفاعلي مع حساب يحتوي على أذونات مرتفعة على الجهاز الهدف وفي Azure.

لتوصيل الأجهزة بالخوادم التي تدعم Azure Arc، يمكنك استخدام مبدأ خدمة Azure Active Directory بدلا من استخدام هويتك المميزة لتوصيل الجهاز بشكل تفاعلي. مبدأ الخدمة هذا هو هوية إدارة محدودة خاصة يتم منحها فقط الحد الأدنى من الإذن اللازم لتوصيل الأجهزة ب Azure باستخدام azcmagent الأمر. هذا أكثر أمانا من استخدام حساب متميز أعلى مثل مسؤول المستأجر ، ويتبع أفضل ممارسات أمان التحكم في الوصول لدينا. يتم استخدام مبدأ الخدمة فقط أثناء الإعداد ؛ لا يتم استخدامه لأي غرض آخر.

تتطلب طرق التثبيت لتثبيت عامل الجهاز المتصل وتكوينه أن يكون للطريقة التلقائية التي تستخدمها أذونات المسؤول على الأجهزة: على Linux باستخدام الحساب الجذر، وعلى Windows كعضو في مجموعة المسؤولين المحليين.

قبل البدء، تأكد من مراجعة المتطلبات الأساسية والتحقق من أن اشتراكك ومواردك تفي بالمتطلبات. للحصول على معلومات حول المناطق المدعومة والاعتبارات الأخرى ذات الصلة، راجع مناطق Azure المدعومة. راجع أيضا دليل التخطيط على نطاق واسع لفهم معايير التصميم والنشر، بالإضافة إلى توصيات الإدارة والمراقبة الخاصة بنا.

إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.

إنشاء مبدأ خدمة للإعداد على نطاق واسع

يمكنك إنشاء أصل خدمة في مدخل Azure أو باستخدام Azure PowerShell.

ملاحظة

لإنشاء أصل خدمة، يحتاج مستأجر Azure Active Directory إلى السماح للمستخدمين بتسجيل التطبيقات. إذا لم يحدث ذلك، فيجب أن يكون حسابك عضوا في الدور الإداري لمسؤول التطبيق أو مسؤول تطبيق السحابة . راجع تفويض أذونات تسجيل التطبيق في Azure Active Directory للحصول على مزيد من المعلومات حول المتطلبات على مستوى المستأجر. لتعيين أدوار الخادم الممكنة ل Arc، يجب أن يكون حسابك عضوا في دور المالك أو مسؤول وصول المستخدم في الاشتراك الذي تريد استخدامه للإعداد.

مدخل Azure

توفر خدمة Azure Arc في مدخل Azure طريقة مبسطة لإنشاء مبدأ خدمة يمكن استخدامه لتوصيل أجهزتك المختلطة ب Azure.

  1. في مدخل Azure، انتقل إلى Azure Arc، ثم حدد مديري الخدمات في القائمة اليمنى.
  2. حدد ⁧⁩إضافة⁧⁩.
  3. أدخل اسما لمدير الخدمة.
  4. اختر ما إذا كان مدير الخدمة سيتمكن من الوصول إلى اشتراك كامل، أو إلى مجموعة موارد معينة فقط.
  5. حدد الاشتراك (ومجموعة الموارد، إن وجدت) التي سيكون لمدير الخدمة حق الوصول إليها.
  6. في قسم سر العميل، حدد المدة التي سيتم فيها استخدام سر العميل الذي تم إنشاؤه. يمكنك اختياريا إدخال اسم مألوف من اختيارك في حقل الوصف .
  7. في القسم تعيين الدور ، حدد إعداد الجهاز المتصل في Azure.
  8. حدد Create.

Screenshot of the Azure Arc service principal creation screen in the Azure portal.

Azure PowerShell

يمكنك استخدام Azure PowerShell لإنشاء مبدأ خدمة باستخدام cmdlet New-AzADServicePrincipal .

  1. قم بتشغيل الأمر التالي. يجب عليك تخزين إخراج cmdlet في متغير ، أو لن تتمكن من New-AzADServicePrincipal استرداد كلمة المرور المطلوبة في خطوة لاحقة.

    $sp = New-AzADServicePrincipal -DisplayName "Arc-for-servers" -Role "Azure Connected Machine Onboarding"
$sp

    Secret                : System.Security.SecureString
ServicePrincipalNames : {ad9bcd79-be9c-45ab-abd8-80ca1654a7d1, https://Arc-for-servers}
ApplicationId         : ad9bcd79-be9c-45ab-abd8-80ca1654a7d1
ObjectType            : ServicePrincipal
DisplayName           : Hybrid-RP
Id                    : 5be92c87-01c4-42f5-bade-c1c10af87758
Type                  :

  2. لاسترداد كلمة المرور المخزنة في المتغير $sp ، قم بتشغيل الأمر التالي:

    $credential = New-Object pscredential -ArgumentList "temp", $sp.Secret
$credential.GetNetworkCredential().password

  3. في الإخراج ، ابحث عن قيم كلمة مرور الحقول و ApplicationId. ستحتاج إلى هذه القيم لاحقا، لذا احفظها في مكان آمن. إذا نسيت كلمة المرور الرئيسية للخدمة New-AzADSpCredential أو فقدتها، فيمكنك إعادة تعيينها باستخدام cmdlet.

يتم استخدام القيم من الخصائص التالية مع المعلمات التي azcmagentتم تمريرها إلى :

  • يتم استخدام القيمة من الخاصية ApplicationId لقيمة المعلمة --service-principal-id
  • يتم استخدام القيمة من خاصية كلمة المرور للمعلمة --service-principal-secret المستخدمة لتوصيل الوكيل.

تلميح

تأكد من استخدام الخاصية ApplicationId الرئيسية للخدمة، وليس الخاصية Id .

  1. قم بتعيين دور إعداد الجهاز المتصل من Azure إلى أصل الخدمة لمجموعة الموارد أو الاشتراك المعين. يحتوي هذا الدور فقط على الأذونات المطلوبة لتركيب الجهاز. لاحظ أنه يجب أن يكون حسابك عضوا في دور المالك أو مسؤول وصول المستخدم للاشتراك الذي سيكون لمدير الخدمة حق الوصول إليه. للحصول على معلومات حول كيفية إضافة تعيينات الأدوار، راجع تعيين أدوار Azure باستخدام مدخل Azure أو تعيين أدوار Azure باستخدام Azure CLI.

إنشاء البرنامج النصي للتثبيت من مدخل Azure

يتوفر البرنامج النصي لأتمتة التنزيل والتثبيت، وإنشاء الاتصال ب Azure Arc، من مدخل Azure. لإكمال العملية، قم بالخطوات التالية:

  1. من المتصفح، انتقل إلى مدخل Azure.

  2. في صفحة ⁧⁩الخوادم - Azure Arc⁧⁩، حدد ⁧⁩إضافة⁧⁩ في أعلى اليمين.

  3. في الصفحة تحديد أسلوب ، حدد لوحة إضافة خوادم متعددة ، ثم حدد إنشاء برنامج نصي.

  4. في الصفحة ⁧⁩إنشاء برنامج نصي⁧⁩، حدد مجموعة الموارد والاشتراك التي تريد أن تتم إدارة الجهاز داخل Azure فيها. حدد موقع Azure حيث سيتم تخزين بيانات تعريف الجهاز. يمكن أن يكون هذا الموقع هو نفسه أو مختلفًا، حسب موقع مجموعة الموارد.

  5. في صفحة ⁧⁩المتطلبات الأساسية⁧⁩، راجع المعلومات ثم حدد ⁧⁩التالي: تفاصيل المورد⁧⁩.

  6. في الصفحة ⁧⁩تفاصيل الموارد⁧⁩، قم بتوفير ما يلي:

    1. في القائمة المنسدلة ⁧⁩مجموعة الموارد⁧⁩، حدد مجموعة الموارد التي ستتم إدارة الجهاز منها.
    2. في القائمة المنسدلة ⁧⁩المنطقة⁧⁩، حدد منطقة Azure المطلوب تخزين بيانات تعريف الخوادم فيها.
    3. في القائمة المنسدلة نظام التشغيل، حدد نظام التشغيل الذي تم تكوين البرنامج النصي لتشغيله عليه.
    4. إذا كان الجهاز متصلاً من خلال خادم وكيل للاتصال بالإنترنت، فحدد عنوان IP للخادم الوكيل أو الاسم ورقم المنفذ اللذين سيستخدمهما الجهاز للاتصال بالخادم الوكيل. باستخدام هذا التكوين، يتصل العامل من خلال الخادم الوكيل باستخدام بروتوكول HTTP. أدخل القيمة في التنسيق ⁧http://<proxyURL>:<proxyport>⁩.
    5. حدد التالي: المصادقة.

  7. في صفحة المصادقة ، ضمن القائمة المنسدلة أصل الخدمة ، حدد Arc-for-servers. ثم حدد ، التالي: العلامات.

  8. في صفحة ⁧⁩العلامات⁧⁩، راجع ⁧⁩علامات الموقع الفعلية⁧⁩ الافتراضية المقترحة وأدخل قيمة، أو حدد ⁧⁩علامة مخصصة⁧⁩ واحدة أو أكثر لدعم معاييرك.

  9. حدد ⁧⁩التالي: تنزيل وتشغيل البرنامج النصي⁧⁩.

  10. في الصفحة ⁧⁩تنزيل وتشغيل البرنامج النصي⁧⁩، راجع معلومات الملخص، ثم حدد ⁧⁩تنزيل⁧⁩. إذا كنت لا تزال بحاجة إلى إجراء تغييرات، فحدد ⁧⁩السابق⁧⁩.

بالنسبة Windows، تتم مطالبتك بحفظ OnboardingScript.ps1، ولينكس OnboardingScript.sh على جهاز الكمبيوتر الخاص بك.

تثبيت العامل والاتصال ب Azure

باستخدام قالب البرنامج النصي الذي تم إنشاؤه مسبقا، يمكنك تثبيت وكيل الجهاز المتصل وتكوينه على العديد من أجهزة Linux والأجهزة Windows المختلطة باستخدام أداة التشغيل الآلي المفضلة لدى مؤسستك. يقوم البرنامج النصي بتنفيذ خطوات مماثلة موصوفة في الاتصال الأجهزة المختلطة إلى Azure من مقالة مدخل Azure. الفرق هو في الخطوة الأخيرة، حيث تقوم بإنشاء الاتصال ب Azure Arc باستخدام الأمر باستخدام azcmagent أصل الخدمة.

فيما يلي الإعدادات التي تقوم بتكوين azcmagent الأمر لاستخدامه لأصل الخدمة.

  • service-principal-id المعرف الفريد (GUID) الذي يمثل معرف التطبيق الخاص بمدير الخدمة.:
  • service-principal-secret | كلمة المرور الرئيسية للخدمة.
  • tenant-id المعرف الفريد (GUID) الذي يمثل المثيل المخصص ل Azure AD.:
  • subscription-id معرف الاشتراك (GUID) لاشتراكك في Azure الذي تريد إدخال الأجهزة فيه.:
  • resource-group اسم مجموعة الموارد التي تريد أن تنتمي إليها أجهزتك المتصلة.:
  • location راجع مناطق Azure المدعومة.: يمكن أن يكون هذا الموقع هو نفسه أو مختلفًا، حسب موقع مجموعة الموارد.
  • resource-name : (اختياري) يستخدم لتمثيل موارد Azure لجهازك المحلي.: إذا لم تحدد هذه القيمة، استخدام اسم مضيف الجهاز.

يمكنك معرفة المزيد حول azcmagent أداة سطر الأوامر من خلال مراجعة مرجع Azcmagent.

ملاحظة

يدعم البرنامج النصي Windows PowerShell التشغيل من إصدار 64 بت من Windows PowerShell فقط.

بعد تثبيت العامل وتكوينه للاتصال بخوادم ممكنة في Azure Arc، انتقل إلى مدخل Azure للتحقق من اتصال الخادم بنجاح. عرض الأجهزة في مدخل Azure.

Screenshot showing a successful server connection in the Azure portal.

الخطوات التالية